¿Qué tan seguro es tu dato encriptado robado?
Es probable que algunos de tus datos hayan sido robados. ¿Alguna vez usaste Yahoo? 3 mil millones de cuentas de Yahoo fueron robadas en 2013. ¿Visitas un hotel Marriott? 500 millones de cuentas de Marriott fueron robadas durante cuatro años, de 2014 a 2018. ¿Lograste mantener tu antigua dirección de Hotmail y tu espíritu adolescente? 360 millones de cuentas de MySpace, hackeadas. ¿Usas MyFitnessPal? 150 millones de cuentas.
Entonces, ¿qué fue lo que obtuvieron exactamente los hackers? Cada hackeo es diferente, pero casi con certeza obtuvieron tu dirección de correo electrónico, información de usuario, registros de tu actividad en el sitio y posiblemente cosas mucho más dañinas. Sin embargo, hay buenas noticias: muchos de los datos más sensibles probablemente fueron encriptados. También hay una buena probabilidad de que no fueran encriptados, pero tomemos el escenario más optimista: tu información fue robada, pero lo sensible estaba encriptado con AES-256. ¿Qué tan seguro está?
¿Qué significa que los datos estén encriptados?
La “encriptación” en la seguridad de datos moderna generalmente se refiere a la criptografía basada en claves. En resumen, ingresas los datos que deseas encriptar y la clave (una cadena de letras, números y/o símbolos) que deseas usar para encriptarla. La combinación de estas dos cosas crea un lío desordenado que solo puede ser desencriptado si se utiliza la clave apropiada. No debe confundirse con:
- Codificación: Utiliza el mismo algoritmo para codificar y decodificar datos, sin necesidad de clave. Esto es como ASCII o Unicode, completamente inseguro.
- Hashing: Proceso de encriptación unidireccional que produce el mismo resultado para una entrada idéntica, pero deja resultados muy diferentes si las entradas varían incluso un poco. Esto se utiliza generalmente para la gestión de contraseñas con un algoritmo como SHA-256 o bcrypt.
Por ejemplo:
| Método | Texto |
|---|---|
| Codificación (ASCII, decimal) | Manténlo en secreto. Manténlo seguro. |
| Encriptación (AES 256-bit) | Manténlo en secreto. Manténlo seguro. |
| Hashing (bcrypt) | Manténlo en secreto. Manténlo seguro. |
| Método | Con método aplicado |
|---|---|
| Codificación (ASCII, decimal) | 75 101 101 112 32 105 116 32 115 101 99 114 101 116 46 32 75 101 101 112 32 105 116 32 115 97 102 101 46 |
| Encriptación (AES 256-bit, clave: Mellon) | ddg18josC+1ouYRjv5CfPoo
jKJV+y3OLtxjIeCUsL+A= | | Hashing (bcrypt, doce rondas) | $2y$12$3O1EiCPdVrqZFllHJ/
.q9eZzsyzqdmLMluqlQKO1A
NtlYMva94.nS |
| Método | Desencriptado |
|---|---|
| Codificación (ASCII, decimal) | Manténlo en secreto. Manténlo seguro. |
| Encriptación (AES 256-bit) | Manténlo en secreto. Manténlo seguro. |
| Hashing (bcrypt) | No se puede desencriptar |
Los dos tipos principales de encriptación son simétrica y asimétrica. La encriptación simétrica puede ser desencriptada usando la misma clave que se utilizó para encriptarla, mientras que la encriptación asimétrica requiere una clave (la clave pública) para encriptar y otra clave (la clave privada) para desencriptar. La mayoría de la encriptación moderna es asimétrica, ya que tener solo una clave para toda una base de datos de información es muy inseguro.
¿Qué tan segura es la encriptación? ¿Puede ser crackeada?
La respuesta corta es sí: la encriptación puede ser crackeada. Un enfoque de fuerza bruta, que básicamente implica hacer muchos y muchos intentos hasta que uno resulte ser el correcto, ciertamente encontrará la respuesta correcta, dado el tiempo y el poder de computación suficientes. Con nuestras capacidades actuales, hacer un ataque de fuerza bruta a AES-256 podría llevar hasta 3 sexdecillion (3×1051) años, y números similares podrían estar asociados a muchos algoritmos de encriptación de uso común. En el futuro, las computadoras cuánticas y otros avances podrían reducir significativamente la seguridad real de la encriptación, pero mientras tanto, es efectivamente impenetrable.
Pero eso no hace que la encriptación sea infalible. Los atacantes son muy conscientes de que los datos encriptados son inútiles sin las claves, entonces, ¿qué buscan? Las claves. La posible brecha de datos más catastrófica es aquella en la que los datos encriptados y las claves de desencriptación son robadas. Si la seguridad de los datos se está implementando correctamente, las claves (múltiples claves para diferentes datos, probablemente por usuario) se almacenarán de forma segura en una ubicación separada de los datos y probablemente deberían estar encriptadas ellas mismas. Además, las claves necesitarán ser desencriptadas y recuperadas de manera segura cada vez que se necesiten para desencriptar datos, de modo que los atacantes no puedan interceptarlas. Además de todo esto, las claves probablemente deberían cambiarse de manera regular.
Si el sitio del que se robó tu información hizo todo eso, es probable que los atacantes no hayan robado las claves, y tus datos están seguros hasta que el sol se apague o inventemos computadoras mucho más poderosas. Pero, ¿cuáles son las probabilidades de que los sitios realmente estén haciendo esto, y cuántos de tus datos están encriptados incluso en el mejor de los escenarios?
¿Quién encripta y qué se está encriptando?
¿Recuerdas esa lista de brechas de datos al comienzo de este artículo? Vamos a revisarlas otra vez.
| Brecha | Año | Registros afectados | Encriptados | No encriptados |
|---|
| Yahoo | 2013/2014 | 3 mil millones | – Contraseñas hasheadas (principalmente bcrypt, algunas MD5)
– Algunas preguntas de seguridad | – Nombres
– Direcciones de correo electrónico
– Números de teléfono
– Fechas de nacimiento | | Marriott | 2014-2018 | 3-500 millones | – 8.6 millones de números de tarjeta de crédito
– 20.3 millones de números de pasaporte | – Nombres
– Direcciones
– Fechas de nacimiento
– Género
– Datos del programa de lealtad
– Información de reservas
– 5.25 millones de números de pasaporte | | MySpace | 2016 | 400 millones | Contraseñas (SHA-1, sin sal) | – Direcciones de correo electrónico
– Nombres de usuario | | MyFitnessPal | 2018 | 150 millones | Contraseñas (bcrypt, saladas y SHA-1) | – Nombres de usuario
– Direcciones de correo electrónico
– Contraseñas |
Esta lista podría hacerse muy, muy larga, pero entiendes la idea: Básicamente, lo único que se está encriptando en la mayoría de los sitios es tu contraseña (que en realidad está siendo hasheada) y la información de pago. A menos que se trate de un sitio que maneje mucha información sensible o tenga una obsesión con la alta seguridad, tu brecha de datos probablemente expuso una cantidad considerable de tu PII (Información Personal Identificable). Eso se debe principalmente a que encriptar y desencriptar cosas requiere mucha más potencia de computación, tiempo, esfuerzo y dinero que simplemente almacenarlas en texto plano y servirlas directamente.
Incluso los datos encriptados en estos hacks no siempre estaban a salvo. Yahoo y MyFitnessPal usaron bcrypt para sus contraseñas, que es un estándar de encriptación fuerte, pero también estaban usando MD-5 y SHA-1 respectivamente, principalmente para cuentas más antiguas. Estos son algoritmos de hashing mucho más débiles. MySpace simplemente utilizó SHA-1 sin sal para todo, lo que tiene sentido, pero también significa que tu contraseña casi definitivamente se filtró. Yahoo tampoco ha sido claro sobre si salaron sus contraseñas en 2013 (probablemente no lo hicieron), lo que las hace bastante vulnerables a ser crackeadas.
Marriott incluso perdió 5.25 millones de números de pasaporte en texto plano, lo cual es malo. Claramente sabían que debían encriptarlos (20 millones de otros estaban, después de todo) pero dejaron caer la pelota sobre el 20 por ciento de sus clientes. También encriptaron los números de tarjeta de crédito, pero no están seguros de si los hackers obtuvieron la clave o no.
La moraleja de la historia: la mayoría de tus datos no están encriptados, incluso los que realmente deberían estarlo.
Pero mis datos estaban encriptados
Bien, así que estabas utilizando un sitio web con una seguridad fantástica que encriptó cada parte de tu información. Esos existen: muchos sitios de almacenamiento de archivos (Dropbox, Google Drive) encriptarán tus archivos en su base de datos, por ejemplo. Si ese es el caso, entonces mientras su manejo de almacenamiento de claves sea fuerte y sus expertos en seguridad hayan hecho un buen trabajo trabajando con los desarrolladores, es probable que tus datos permanezcan intactos hasta la muerte térmica del universo.
El escenario más probable, sin embargo, es que gran parte de tu información no estaba encriptada, e incluso la información sensible podría haber sido mal hasheada o encriptada con la clave en algún lugar de la base de datos o en el sistema de archivos. No hay mucho que puedas hacer al respecto, ya que necesitas entregar a las empresas tus datos para poder usar sus servicios, pero puedes intentar mantenerlo al mínimo – y no reutilices contraseñas.
Y no olvides revisar HaveIBeenPwned para ver si tus datos han aparecido en alguna brecha.
Créditos de las imágenes: Claves de encriptación de clave pública, Brecha de Seguridad de Datos, Criptografía de clave pública naranja azul
